應(yīng)用防火墻

從Web應(yīng)用防火墻功能對比表格中，我們可以看出，目前Web應(yīng)用防火墻的功能性還不統(tǒng)一，幾個廠商Web應(yīng)用防火墻的主要功能項還有較大出入。另外，功能描述也不相同，有些同種的功能各個廠商廠商的描述各不相同。為了對廠商真實體現(xiàn)廠商產(chǎn)品功能，這一部分資料按各廠商介紹在表格中予以重現(xiàn)。還有一些廠商存在明顯的技術(shù)資料發(fā)布不全現(xiàn)象，這方面以思杰(Citrix)最具代表性。如果不是其網(wǎng)站產(chǎn)品介紹中存在"利用集成式應(yīng)用防火墻增強了安全性"這一句話，和其英文網(wǎng)站上的相關(guān)介紹，我們幾乎認定其Citrix NetScaler產(chǎn)品僅是一款Web應(yīng)用加速產(chǎn)品!所幸的是，在本次活動截止前一天，思杰市場人員將Citrix NetScaler中文資料發(fā)給了我們，才使得思杰Citrix NetScaler產(chǎn)品功能對比的項目不至于留白!

但是在產(chǎn)品功能項目差異大，內(nèi)容不統(tǒng)一的情況下，用戶應(yīng)該如何對產(chǎn)品進行選擇呢?下面我們就綜合分析一下，在選擇Web應(yīng)用防火墻產(chǎn)品時，哪幾方面的信息是用戶最需要了解的。

1、產(chǎn)品宣傳

通過廠商的產(chǎn)品宣傳，可以了解廠商產(chǎn)品的市場定位，以及廠商對用戶應(yīng)用需求的了解情況。從中可以初步分析廠商產(chǎn)品是否可以滿足用戶的實際應(yīng)用需求。

2、產(chǎn)品功能介紹

在產(chǎn)品功能介紹中，可以粗略了解產(chǎn)品的各項功能，在經(jīng)過對比后可以了解廠商產(chǎn)品的功能是否齊備，可否滿足用戶應(yīng)用的需求。

3、產(chǎn)品評測報告

這是用戶容易忽略，某些廠商刻意忽略的重要信息。對于網(wǎng)絡(luò)產(chǎn)品來講，市場定位容易描述，產(chǎn)品功能也可以相互借鑒，但具體的功能測試是很難仿造的。評測報告中的每個指標、每個數(shù)據(jù)都是廠商研發(fā)技術(shù)實力的最直觀體現(xiàn)，只有對產(chǎn)品技術(shù)具備最深入理解的廠商才可以在用戶面前交出一份令用戶滿意的評測報告!

4、售后服務(wù)

把售后服務(wù)放到產(chǎn)品銷售前面，就在于它的重要性。一般的網(wǎng)絡(luò)產(chǎn)品往往會使用戶忽略售后服務(wù)的重要，質(zhì)量過硬的網(wǎng)絡(luò)產(chǎn)品有可能插電一次性設(shè)置后幾年都不需要變動。但是Web應(yīng)用防火墻這類網(wǎng)絡(luò)安全產(chǎn)品就全然不同了，層出不窮的網(wǎng)絡(luò)威脅會時刻對其發(fā)出挑戰(zhàn)。沒有完善研發(fā)售后服務(wù)能力的廠商將無力面對這些威脅，這樣用戶的網(wǎng)絡(luò)安全也就失去了相應(yīng)的保障。

5、產(chǎn)品銷售

產(chǎn)品的銷售廠商在哪里，從那里可以得到什么樣的服務(wù)，技術(shù)支持能力如何……這些同樣也需要用戶在選擇產(chǎn)品時事先進行了解。

·深信服NGAF下一代防火墻

NGAF是面向應(yīng)用層設(shè)計，能夠精確識別用戶、應(yīng)用和內(nèi)容，具備完整安全防護能力，能夠全面替代傳統(tǒng)防火墻，并具有強勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控、應(yīng)用可視化、應(yīng)用內(nèi)容防護等方面的巨大不足，同時開啟所有功能后性能不會大幅下降。

NGAF 不但可以提供基礎(chǔ)網(wǎng)絡(luò)安全功能，如狀態(tài)檢測、VPN、抗DDoS、NAT等;還實現(xiàn)了統(tǒng)一的應(yīng)用安全防護，可以針對一個入侵行為中的各種技術(shù)手段進行統(tǒng)一的檢測和防護，如應(yīng)用掃描、漏洞利用、Web入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。NGAF可以為不同規(guī)模的行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場景提供更加精細、更加全面、更高性能的應(yīng)用內(nèi)容防護方案。

深信服NGAF下一代防火墻特點

更精細的應(yīng)用層安全控制

當前網(wǎng)絡(luò)環(huán)境中，應(yīng)用已成為網(wǎng)絡(luò)的主要載體，而網(wǎng)絡(luò)安全的威脅更多的來源于應(yīng)用層，這也使得用戶對于網(wǎng)絡(luò)訪問控制提出更高的要求。如何精確的識別出用戶和應(yīng)用、阻斷有安全隱患的應(yīng)用、保證合法應(yīng)用正常使用、防止端口盜用等問題，已成為現(xiàn)階段用戶對網(wǎng)絡(luò)安全關(guān)注的焦點。但IP不等于用戶、端口不等于應(yīng)用，傳統(tǒng)防火墻基于IP/端口的五元組訪問控制策略已不能有效的應(yīng)對現(xiàn)階段網(wǎng)絡(luò)環(huán)境的巨大變化。

NGAF采用獨創(chuàng)的應(yīng)用可視化技術(shù)，可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了傳統(tǒng)設(shè)備只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。

目前，NGAF可以識別700多種應(yīng)用及其1000多種應(yīng)用動作，還可以與多種認證系統(tǒng)(AD、LDAP、Radius等)、應(yīng)用系統(tǒng)(POP3、SMTP等)無縫對接，自動識別出網(wǎng)絡(luò)當中IP地址對應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu);既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識別和控制豐富的內(nèi)網(wǎng)應(yīng)用，如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等，針對用戶應(yīng)用系統(tǒng)更新服務(wù)的訴求，NGAF還可以精細識別Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴格的環(huán)境下，系統(tǒng)軟件更新服務(wù)暢通無阻。

因此，通過應(yīng)用可視化技術(shù)制定的L3-L7一體化應(yīng)用訪問控制策略，可以為用戶提供更加精細和直觀化控制界面，在一個界面下完成多套設(shè)備的運維工作，提升工作效率。

更全面的內(nèi)容級安全防護

網(wǎng)絡(luò)安全與黑客技術(shù)的發(fā)展使得用戶面臨的威脅不再單單是一個病毒一個木馬、一次DOS攻擊這樣的簡單攻擊。黑客可采用豐富的工具，利用眾多的漏洞，結(jié)合多種攻擊手段進行混合型的破壞性攻擊，具有代表性的如Slammer、Blaster等。而信息獲取和攻擊代碼往往也隱藏在正常的應(yīng)用訪問中，這種混合型安全威脅的出現(xiàn)也給網(wǎng)絡(luò)安全建設(shè)提出新的要求:需要采用更全面的防護手段，防止安全短板被利用;需要深入到應(yīng)用內(nèi)容的安全防護，以識別和預(yù)防潛在威脅。

NGAF融合了漏洞防護、web安全防護、病毒防護等多種安全技術(shù)，具備2000+條漏洞特征庫、數(shù)十萬條病毒、木馬等惡意內(nèi)容特征庫、1000+Web應(yīng)用威脅特征庫，可以全面識別各種應(yīng)用層和內(nèi)容級別的各種安全威脅。通過灰度威脅關(guān)聯(lián)分析技術(shù)將數(shù)據(jù)包還原的內(nèi)容進行全面的威脅檢測，并可以針對黑客入侵過程中使用的不同攻擊方法進行關(guān)聯(lián)分析，從而精確定位出一個黑客的攻擊行為，有效阻斷威脅風(fēng)險的發(fā)生?；叶韧{識別技術(shù)改變了傳統(tǒng)IPS等設(shè)備防御威脅種類單一，威脅檢測經(jīng)常出現(xiàn)漏報、誤報的問題，可以幫助用戶最大程度減少風(fēng)險短板的出現(xiàn)，保證業(yè)務(wù)系統(tǒng)穩(wěn)定運行。

此外，深信服憑借在應(yīng)用層領(lǐng)域6年以上的技術(shù)積累，組建了專業(yè)的安全攻防團隊，可以為用戶定期提供最新的威脅特征庫更新，以確保防御的及時性。

更高性能的應(yīng)用層處理能力

性能和安全往往是傳統(tǒng)安全設(shè)備是無法權(quán)衡的問題。尤其在應(yīng)用層安全防護功能開啟時，該問題尤為明顯。在帶寬不斷提升、威脅不斷增多的網(wǎng)絡(luò)環(huán)境下，用戶不得不在兩者做出艱難的選擇。

為了實現(xiàn)強勁的應(yīng)用層處理能力，NGAF拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計算工作的硬件設(shè)計，采用了更加適合應(yīng)用層靈活計算能力的多核并行處理技術(shù);在系統(tǒng)架構(gòu)上，NGAF也放棄了UTM多引擎，多次解析的架構(gòu)，而采用了更為先進的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應(yīng)用層威脅統(tǒng)一進行檢測匹配，從而提升了工作效率，實現(xiàn)了萬兆級的應(yīng)用安全防護能力。

更完整的安全防護方案

只提供基于應(yīng)用層安全防護功能的方案，并不是一個完整的安全方案。對于用戶來說，還需要采購基礎(chǔ)網(wǎng)絡(luò)層的安全設(shè)備(FW、VPN)，既增加了成本，也增加了組網(wǎng)復(fù)雜度、提升了運維難度。從技術(shù)角度來說，一個黑客完整的攻擊入侵過程包括了網(wǎng)絡(luò)層和應(yīng)用層、內(nèi)容級別等多個層次方式方法，如果將這些威脅割裂開處理進行防護，各種防護設(shè)備之間缺乏智能的聯(lián)動，很容易出現(xiàn)"三不管"的灰色地帶，出現(xiàn)防護真空。

NGAF涵蓋傳統(tǒng)防火墻、IPS的主要功能，內(nèi)部能夠?qū)崿F(xiàn)內(nèi)核級聯(lián)動，是一個"L2-L7完整的安全防護產(chǎn)品"。這也是Gartner定義的"額外的防火墻智能"實現(xiàn)的前提，做到真正的內(nèi)核級聯(lián)動，才能為用戶的業(yè)務(wù)系統(tǒng)提供一個安全防護的"銅墻鐵壁"。

· 梭子魚WEB應(yīng)用防火墻

梭子魚WEB應(yīng)用防火墻，即WAF通過執(zhí)行應(yīng)用會話內(nèi)部的請求來處理應(yīng)用層，它專門保護Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動的攻擊。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊，強大的應(yīng)用防火墻甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付，形象的來說相當于給原網(wǎng)站加上了一個安全的絕緣外殼。

2.應(yīng)用層防火墻與傳統(tǒng)的入侵檢測設(shè)備之間具有本質(zhì)上的區(qū)別

在TCP/IP模型中網(wǎng)絡(luò)流量從物理層到應(yīng)用層是逐層遞交，入侵檢測設(shè)備(IPS)主要定位在分析傳輸層和網(wǎng)絡(luò)層的數(shù)據(jù)，而再往上則是復(fù)雜的各種應(yīng)用層協(xié)議報文，而應(yīng)用層防火墻(WAF)則僅提供對Web應(yīng)用流量全部層面的監(jiān)管。IPS需要處理網(wǎng)絡(luò)中所有的流量，而WAF僅處理與Web應(yīng)用相關(guān)的協(xié)議，其他的則給予轉(zhuǎn)發(fā)。

3.梭子魚WEB應(yīng)用防火墻可以防御的攻擊類型:

1)SQL注入:一些應(yīng)用程序通過復(fù)制Web客戶端輸入來創(chuàng)建數(shù)據(jù)庫查詢。黑客通過構(gòu)造一些應(yīng)用程序沒有仔細檢查和會被拒絕的字符串，來獲取返回的機密數(shù)據(jù)。

2)跨站點腳本:黑客插入腳本代碼(如JavaScript或ActiveX)到一個輸入字符串，導(dǎo)致Web服務(wù)器泄漏用戶名和密碼等信息。

3)操作系統(tǒng)命令注入:一些應(yīng)用程序從web輸入來創(chuàng)建操作系統(tǒng)命令，就像訪問一個文件和顯示文件內(nèi)容。如果輸入的字符串沒有仔細檢查機制，黑客就可以創(chuàng)建輸入來顯示未經(jīng)授權(quán)的數(shù)據(jù)、修改文件或系統(tǒng)參數(shù)。

4)會話劫持:黑客通過猜測基于令牌格式知識的會話令牌的內(nèi)容來獲得登錄會話的權(quán)利。這使得黑客能接管會話并可以得到原來的用戶帳戶信息。

5)篡改參數(shù)或URL:web應(yīng)用程序通常在返回的的web頁面中嵌入?yún)?shù)和URL，或者用授權(quán)的參數(shù)更新緩存。黑客可以修改這些參數(shù)、URL或緩存，使Web服務(wù)器返回不應(yīng)泄漏的信息。

6)緩沖區(qū)溢出:應(yīng)用程序代碼應(yīng)該檢查輸入數(shù)據(jù)的長度，以確保輸入數(shù)據(jù)不會超出剩余的緩沖區(qū)和修改相鄰的存儲。黑客很快就會發(fā)現(xiàn)應(yīng)用程序不檢查溢出，并創(chuàng)建輸入來導(dǎo)致溢出。

Web應(yīng)用防火墻的一些常見特點如下。

1、異常檢測協(xié)議

Web應(yīng)用防火墻會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求。并且，它也可以只允許HTTP協(xié)議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項。

2、增強的輸入驗證

增強輸入驗證，可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。

3、及時補丁

修補Web安全漏洞，是Web應(yīng)用開發(fā)者最頭痛的問題，沒人會知道下一秒有什么樣的漏洞出現(xiàn)，會為Web應(yīng)用帶來什么樣的危害?，F(xiàn)在WAF可以為我們做這項工作了--只要有全面的漏洞信息WAF能在不到一個小時的時間內(nèi)屏蔽掉這個漏洞。當然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對應(yīng)的補丁本身就是一種安全威脅，但我們在沒有選擇的情況下，任何保護措施都比沒有保護措施更好。

(附注:及時補丁的原理可以更好的適用于基于XML的應(yīng)用中，因為這些應(yīng)用的通信協(xié)議都具規(guī)范性。)

4、基于規(guī)則的保護和基于異常的保護

基于規(guī)則的保護可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會維護這個規(guī)則庫，并時時為其更新。用戶可以按照這些規(guī)則對應(yīng)用進行全方面檢測。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。但這需要對用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到，可現(xiàn)實中這是十分困難的一件事情。

5、狀態(tài)管理

WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件(比如登陸失敗)，并且在達到極限值時進行處理。這對暴力攻擊的識別和響應(yīng)是十分有利的。

6、其他防護技術(shù)

WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如:隱藏表單域保護、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護。

Web應(yīng)用防火墻的一些常見特點如下。

Web應(yīng)用防火墻會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求。并且，它也可以只允許HTTP協(xié)議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項。

增強輸入驗證，可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。

修補Web安全漏洞，是Web應(yīng)用開發(fā)者最頭痛的問題，沒人會知道下一秒有什么樣的漏洞出現(xiàn)，會為Web應(yīng)用帶來什么樣的危害?，F(xiàn)在WAF可以為我們做這項工作了--只要有全面的漏洞信息WAF能在不到一個小時的時間內(nèi)屏蔽掉這個漏洞。當然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對應(yīng)的補丁本身就是一種安全威脅，但我們在沒有選擇的情況下，任何保護措施都比沒有保護措施更好。

(附注:及時補丁的原理可以更好的適用于基于XML的應(yīng)用中，因為這些應(yīng)用的通信協(xié)議都具規(guī)范性。)

基于規(guī)則的保護和基于異常的保護

基于規(guī)則的保護可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會維護這個規(guī)則庫，并時時為其更新。用戶可以按照這些規(guī)則對應(yīng)用進行全方面檢測。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。但這需要對用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到，可現(xiàn)實中這是十分困難的一件事情。

WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件(比如登陸失敗)，并且在達到極限值時進行處理。這對暴力攻擊的識別和響應(yīng)是十分有利的。

WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如:隱藏表單域保護、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護。

InforCube Web 應(yīng)用防火墻可保護Web應(yīng)用免受復(fù)雜而隱秘的攻擊，阻止在線身份竊取，并防止應(yīng)用中數(shù)據(jù)的泄露。包括第2 層橋接方式、反向代理方式和非在線嗅探方式在內(nèi)的多個配置選項使部署非常簡單，而且不需要對現(xiàn)有應(yīng)用或網(wǎng)絡(luò)進行任何更改。

因為有了市場領(lǐng)先的Web 應(yīng)用防火墻，所以比起任何其他同類產(chǎn)品，更多企業(yè)愿意選擇InforCube Web 應(yīng)用防火墻來監(jiān)控和保護其關(guān)鍵Web 應(yīng)用。InforCube Web 應(yīng)用防火墻為您的業(yè)務(wù)提供切實可行而且高度安全的解決方案，確保您的Web 應(yīng)用和數(shù)據(jù)安全無憂。

從Web應(yīng)用防火墻功能對比表格中，我們可以看出，目前Web應(yīng)用防火墻的功能性還不統(tǒng)一，幾個廠商Web應(yīng)用防火墻的主要功能項還有較大出入。另外，功能描述也不相同，有些同種的功能各個廠商廠商的描述各不相同。為了對廠商真實體現(xiàn)廠商產(chǎn)品功能，這一部分資料按各廠商介紹在表格中予以重現(xiàn)。還有一些廠商存在明顯的技術(shù)資料發(fā)布不全現(xiàn)象，這方面以思杰(Citrix)最具代表性。如果不是其網(wǎng)站產(chǎn)品介紹中存在"利用集成式應(yīng)用防火墻增強了安全性"這一句話，和其英文網(wǎng)站上的相關(guān)介紹，我們幾乎認定其Citrix NetScaler產(chǎn)品僅是一款Web應(yīng)用加速產(chǎn)品!所幸的是，在本次活動截止前一天，思杰市場人員將Citrix NetScaler中文資料發(fā)給了我們，才使得思杰Citrix NetScaler產(chǎn)品功能對比的項目不至于留白!

但是在產(chǎn)品功能項目差異大，內(nèi)容不統(tǒng)一的情況下，用戶應(yīng)該如何對產(chǎn)品進行選擇呢?下面我們就綜合分析一下，在選擇Web應(yīng)用防火墻產(chǎn)品時，哪幾方面的信息是用戶最需要了解的。